Notepad脫殼

←手機掃碼閱讀火星人 @ 2014-03-09 , reply:0

【破文標題】Notepad脫殼
【破文作者】lvcaolhx
【作者郵箱】hafiwu@sohu.com
【作者主頁】
【破解工具】OllyDBG 漢化第三版
【破解平台】xp SP2
【軟體名稱】Notepad
【軟體大小】87.6k
【原版下載】
【保護方式】
【軟體簡介】
【破解聲明】新手破解,無技術可言
------------------------------------------------------------------------
【破解過程】【詳細過程】
都是壓縮殼.具體是哪些,暫時不認識,只知道一直用ESP定律,最終搞定：軟體使用VB編寫

0042E645 >/$55 push ebp ;載入后停在這裡, F8一次
0042E646|.8BEC mov ebp,esp ;ESP定律
0042E648|.81EC D401000>sub esp,1D4
0042E64E|.53 push ebx
0042E64F|.56 push esi

f9運行,斷下後到這裡：
0042EDBF|.- FFE0 jmp eax ; 跳到第2層
0042EDC1|>5F pop edi
0042EDC2|.5E pop esi
F8進入第二層：
00424DEC 9C pushfd ;
00424DED 60 pushad ;看到這個知到了第2層,先取消硬體斷點再用ESP
00424DEE E8 00000000 call notepad.00424DF3
00424DF3 5D pop ebp
00424DF4 83ED 07 sub ebp,7
00424DF7 8D8D F0FEFFFFlea ecx,dword ptr ss:[ebp-110]
f9運行,斷下後到這裡：
0042505E^E9 9EAFFFFF jmp notepad.00420001 跳到第3層
00425063 8BB5 7CFEFFFFmov esi,dword ptr ss:[ebp-184]
00425069 0BF6 or esi,esi
0042506B 0F84 97000000je notepad.00425108
F8進入第3層
00420001 60 pushad ; 熟悉吧!第3層了,F8
00420002 E8 03000000 call notepad.0042000A ;先取消硬體斷點再用ESP
00420007- E9 EB045D45 jmp 459F04F7
0042000C 55 push ebp
f9運行,斷下後到這裡：
004203B0 /75 08 jnz short notepad.004203BA
004203B2 |B8 01000000 mov eax,1
004203B7 |C2 0C00 retn 0C

004203BA 68 A0EB4100 push notepad.0041EBA0
004203BF C3 retn
F8運行到第4層：
0041EBA0 60 pushad ; 太熟悉了!第4層
0041EBA1 BE 00704100 mov esi,notepad.00417000 ; 先取消硬體斷點再用ESP
0041EBA6 8DBE 00A0FEFFlea edi,dword ptr ds:[esi FFFEA>
0041EBAC 57 push edi
0041EBAD 83CD FF or ebp,FFFFFFFF
0041EBB0 EB 10 jmp short notepad.0041EBC2
0041EBB2 90 nop
0041EBB3 90 nop
f9運行,斷下後到這裡：
0041ED27 8D4424 80 lea eax,dword ptr ss:[esp-80] ;
0041ED2B 6A 00 push 0 ; F8
0041ED2D 39C4 cmp esp,eax
0041ED2F^ 75 FA jnz short notepad.0041ED2B
0041ED31 83EC 80 sub esp,-80 F4
0041ED34^ E9 1724FEFF jmp notepad.00401150 ;F8跳向最后一層
0041ED39 0000 add byte ptr ds:[eax],al
0041ED3B 0000 add byte ptr ds:[eax],al

來到程序OEP：
00401150 68 6C124000 push notepad.0040126C 明顯是VB的.用OD插件DUMP脫掉,運行成功,
收工啦!領工資去
00401155 E8 F0FFFFFF call notepad.0040114A ; jmp to MSVBVM60.ThunRTMain
經典的2句,VB的OEP,不要再F8了,不然,嘿嘿!!!!!完蛋
0040115A 0000 add byte ptr ds:[eax],al
0040115C 0000 add byte ptr ds:[eax],al
0040115E 0000 add byte ptr ds:[eax],al

------------------------------------------------------------------------
【破解總結】用ESP后,要注意代碼,不要F8過頭了
俺就是這一類菜鳥!!
------------------------------------------------------------------------
【版權聲明】本破文純屬技術交流, 轉載請註明作者並保持文章的完整, 謝謝!版權歸PYG所有

Tags:

[火星人 ] Notepad脫殼已經有316次圍觀

本文地址：http://coctec.com/docs/security/show-post-59356.html

Notepad脫殼

熱門文章

最新文章